Sdílet prostřednictvím


Ingestování upozornění Microsoft Defenderu pro cloud do Microsoft Sentinelu

Ochrana integrovaných cloudových úloh v programu Microsoft Defender for Cloud umožňuje detekovat hrozby napříč hybridními a multicloudovými úlohami a rychle na ně reagovat. Konektor Microsoft Defender for Cloud umožňuje ingestovat výstrahy zabezpečení z defenderu pro cloud do Microsoft Sentinelu, abyste mohli zobrazit, analyzovat a reagovat na výstrahy Defenderu a incidenty, které vygenerují, v širším kontextu organizační hrozby.

Plány Programu Microsoft Defender for Cloud Defender jsou povolené pro každé předplatné. I když je starší konektor Microsoft Sentinelu pro Defender for Cloud Apps nakonfigurovaný pro každé předplatné, konektor Microsoft Defenderu pro cloud založený na tenantech ve verzi Preview umožňuje shromažďovat výstrahy Defenderu for Cloud pro celého tenanta, aniž byste museli každé předplatné povolovat samostatně. Konektor založený na tenantovi také funguje s integrací Defenderu for Cloud s XDR v programu Microsoft Defender, aby se zajistilo, že všechny výstrahy defenderu pro cloud jsou plně zahrnuté do všech incidentů, které obdržíte prostřednictvím integrace incidentů XDR v programu Microsoft Defender.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Synchronizace upozornění

  • Když připojíte Microsoft Defender for Cloud ke službě Microsoft Sentinel, stav výstrah zabezpečení přijatých do Služby Microsoft Sentinel se synchronizuje mezi těmito dvěma službami. Pokud je například výstraha v programu Defender for Cloud zavřená, zobrazí se tato výstraha také jako uzavřená v Microsoft Sentinelu.

  • Změna stavu výstrahy v defenderu pro cloud nebude mít vliv na stav všech incidentů Microsoft Sentinelu, které obsahují výstrahu Microsoft Sentinelu, pouze výstrahy samotné.

Obousměrná synchronizace upozornění

Povolení obousměrné synchronizace automaticky synchronizuje stav původních výstrah zabezpečení s incidenty Služby Microsoft Sentinel, které tyto výstrahy obsahují. Takže když se například zavře incident Microsoft Sentinelu obsahující výstrahy zabezpečení, odpovídající původní výstraha se automaticky zavře v programu Microsoft Defender for Cloud.

Požadavky

  • V pracovním prostoru Microsoft Sentinelu musíte mít oprávnění ke čtení a zápisu.

  • U předplatného, ke kterému se chcete připojit ke službě Microsoft Sentinel, musíte mít roli Přispěvatel nebo Vlastník .

  • Pro každé předplatné, ve kterém chcete konektor povolit, budete muset povolit aspoň jeden plán v programu Microsoft Defender for Cloud. Pokud chcete povolit plány Microsoft Defenderu pro předplatné, musíte mít pro toto předplatné roli správce zabezpečení.

  • Budete potřebovat, SecurityInsights aby byl poskytovatel prostředků zaregistrovaný pro každé předplatné, ve kterém chcete konektor povolit. Projděte si pokyny ke stavu registrace poskytovatele prostředků a způsoby, jak ho zaregistrovat.

  • Pokud chcete povolit obousměrnou synchronizaci, musíte mít v příslušném předplatném roli Přispěvatel nebo Správce zabezpečení.

  • Nainstalujte řešení pro Microsoft Defender for Cloud z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Připojení k Programu Microsoft Defender for Cloud

  1. Po instalaci řešení v Microsoft Sentinelu vyberte konektory konfiguračních >dat.

  2. Na stránce Datové konektory vyberte konektor Microsoft Defender for Cloud založený na předplatném (starší verze) nebo konektor Microsoft Defenderu pro cloud (Preview) založený na tenantovi a pak vyberte otevřít stránku konektoru.

  3. V části Konfigurace se zobrazí seznam předplatných ve vašem tenantovi a stav jejich připojení ke službě Microsoft Defender for Cloud. Vyberte přepínač Stav vedle každého předplatného, jehož upozornění chcete streamovat do Služby Microsoft Sentinel. Pokud chcete připojit několik předplatných najednou, můžete to udělat tak, že zaškrtnete políčka vedle příslušných předplatných a pak vyberete tlačítko Připojit na panelu nad seznamem.

    • Zaškrtávací políčka a přepínače Připojit jsou aktivní pouze u předplatných, pro která máte požadovaná oprávnění.
    • Tlačítko Připojit je aktivní jenom v případě, že je zaškrtnuté políčko alespoň jednoho předplatného.
  4. Pokud chcete u předplatného povolit obousměrnou synchronizaci, vyhledejte předplatné v seznamu a v rozevíracím seznamu ve sloupci Obousměrná synchronizace zvolte Povoleno. Pokud chcete povolit obousměrnou synchronizaci u několika předplatných najednou, označte jejich zaškrtávací políčka a na panelu nad seznamem zaškrtněte tlačítko Povolit obousměrnou synchronizaci .

    • Zaškrtávací políčka a rozevírací seznamy budou aktivní jenom u předplatných, pro která máte požadovaná oprávnění.
    • Tlačítko Povolit obousměrnou synchronizaci bude aktivní pouze v případě, že je zaškrtnuté políčko alespoň jednoho předplatného.
  5. Ve sloupci plánů v programu Microsoft Defender v seznamu můžete zjistit, jestli jsou ve vašem předplatném povolené plány Programu Microsoft Defender (předpoklad pro povolení konektoru).

    Hodnota pro každé předplatné v tomto sloupci je buď prázdná (což znamená, že nejsou povolené žádné plány Defenderu), Všechna povolená nebo Některá povolená. Ti, kteří říkají , že některé povolené mají také možnost Povolit všechny odkazy, které můžete vybrat, vás převedou na řídicí panel konfigurace Microsoft Defenderu pro cloud pro toto předplatné, kde můžete zvolit plány Defenderu, které chcete povolit.

    Tlačítko Povolit Microsoft Defender pro všechna předplatná na panelu nad seznamem vás převedou na stránku Začínáme v programu Microsoft Defender for Cloud, kde si můžete vybrat, pro která předplatná chcete povolit Microsoft Defender pro cloud úplně. Příklad:

    Snímek obrazovky s konfigurací konektoru Microsoft Defenderu pro cloud

  6. Můžete vybrat, jestli chcete, aby výstrahy z programu Microsoft Defender for Cloud automaticky generovaly incidenty v Microsoft Sentinelu. V části Vytvořit incidenty vyberte Povoleno, pokud chcete zapnout výchozí analytické pravidlo, které automaticky vytváří incidenty z výstrah. Toto pravidlo pak můžete upravit v části Analýza na kartě Aktivní pravidla .

    Tip

    Při konfiguraci vlastních analytických pravidel pro výstrahy z Programu Microsoft Defender pro cloud zvažte závažnost upozornění, abyste se vyhnuli otevření incidentů pro informační výstrahy.

    Informační výstrahy v programu Microsoft Defender for Cloud nepředstavují vlastní bezpečnostní riziko a jsou relevantní pouze v kontextu existujícího otevřeného incidentu. Další informace najdete v tématu Výstrahy zabezpečení a incidenty v programu Microsoft Defender for Cloud.

Vyhledání a analýza dat

Poznámka:

Synchronizace výstrah v obou směrech může trvat několik minut. Změny stavu výstrah se nemusí zobrazit okamžitě.

  • Výstrahy zabezpečení jsou uloženy v tabulce SecurityAlert v pracovním prostoru služby Log Analytics.

  • Pokud chcete dotazovat výstrahy zabezpečení v Log Analytics, zkopírujte následující údaje do okna dotazu jako výchozí bod:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • Další užitečné ukázkové dotazy, šablony analytických pravidel a doporučené sešity najdete na kartě Další kroky na stránce konektoru.

Další kroky

V tomto dokumentu jste zjistili, jak propojit Microsoft Defender for Cloud s Microsoft Sentinelem a synchronizovat mezi nimi výstrahy. Další informace o službě Microsoft Sentinel najdete v následujících článcích: